|
IP业务PIC的设计基于Juniper网络公司路由器提供的强韧的路由和业务功能。IP业务PIC提供了一系列高度可靠、强大的关键VPN业务,包括管理的安全连通性、基于流的记账、加密、多链路、流量监控和其他增值的数据包处理功能。基于高度可靠的Juniper网络公司硬件和软件路由体系结构,IP业务PIC能够相互结合,在同一平台上实现多种高性能的业务。
为了满足不断发展的客户需求,服务供应商能够以增量方式添加可创收的业务,以增强他们的IP业务交付能力。IP业务PIC采用的模块化方法使供应商可以根据需要添加适当的业务,随着增强业务需求的增加平滑地扩展网络。
提供IP业务要求具有密集计算并添加IP业务模块,以确保支持所有的数据包处理工作,但不会降低性能。业界领先的JUNOS操作系统可管理这些IP业务PIC,以交付丰富的功能,提供无缝、可扩展的解决方案。能够以几千兆的线速提供高价值业务,确保客户可以获得高质量的用户体验,并且服务供应商能够提供差分业务,以帮助最大限度提高获利能力。
- 自适应业务(AS) PIC支持新级别的业务集成和性能。AS PIC目前支持压缩的实时协议(CRTP)、高速网络地址转换(NAT)、状态型防火墙、隧道业务、IPSec加密和J-Flow记帐,同时拥有内置空间,可在将来支持其他业务。利用高速NAT和状态型防火墙,供应商能够保护他们的网络,同时部署基于网络的安全性和VPN解决方案。
- 加密业务(ES) PIC 为企业VPN安全接入服务提供高性能IPsec加密,并利用标准IPsec加密提供高度可扩展的解决方案,以支持管理VPN并跨服务供应商核心网络实现PE到PE加密。
- 链路业务PIC 同时支持链路分段和交叉(LFI)、多链路绑定和隧道贯穿。LFI设计用来优化融和环境,可在低速链路上提供服务质量(QoS),以确保高质量的用户体验。
- 监控PIC为客户提供了安全、高度可扩展、基于流量的监控。M系列PIC产品家族提供了2个个模块,使服务供应商和政府部门能够以业界首创的高达OC-48c线速监控数据流。
- 隧道业务PIC 使M-系列和T-系列路由器能够利用不同封装机制、在现有IP基础设施上传输多种类型的流量。隧道业务PIC支持IP-IP单点发送、通用路由封装(GRE)和协议独立组播稀疏模式(PIM-SM)隧道。
多业务(AS)PIC
AS PIC利用定制的ASIC在M-系列路由器上提供前所未有的灵活、高性能业务集成。AS PIC同时支持高速网络地址转换(NAT)、状态型防火墙、隧道业务、IPSec加密、J-Flow记帐、cRTP和攻击检测业务,同时拥有内置空间可在将来支持其他业务。AS PIC还提供了无与伦比的规模,单一PIC上可实现500 Mbps的吞吐量,每秒支持1,000,000条同步数据流和12,000新数据流。随着业务需求的增长,可以添加额外的PIC,以模块化的方式扩展性能。
- 压缩实时协议(CRTP)可在低速链路上传输高质量语音,同时降低用于长途VoIP传输的中继线规模。CRTP压缩40字节的IP/UDP/RTP报头至2字节。CRTP与分段大型MTU的链路分段交叉(LFI)相结合,大幅度缩短了串行化延迟,因此最大限度地缩短了VoIP延迟并减少了抖动。
- 网络地址转换(NAT)支持静态或动态的专用IP地址到公共IP地址转换以及端口地址转换(PAT),使企业能够利用专用IP地址访问互联网。ASP还可支持RFC2547 VPN中逐VRF的NAT;在这里,内部流量继续使用专用IP地址,而指向互联网的流量则被转换。
- 状态型防火墙可提供逐数据流状态表并可执行深入的数据包检测,根据防火墙规则列表匹配数据包,并丢弃不符合协议状态的数据包;这样可以保护网络不受许多恶意攻击的影响。与独立的防火墙设备不同,Juniper网络公司高速路由平台集成的状态型防火墙功能使用户不仅能够利用状态型数据包检测来保护他们的数据层面,而且还可以保护他们关键的控制层面流量。此外,高速状态型防火墙功能与丰富的检测功能以及生成统计数据、供入侵检测系统处理的功能相结合,使服务供应商能够为企业客户提供基于网络的安全服务。利用为每个VRF提供的状态型防火墙和NAT,服务供应商现在能够提供全面的第3层RFC2547 VPN服务。
- 攻击检测提供基于异常事件的攻击检测和保护。利用状态型防火墙功能提供的异常和状态检查功能,可以通过攻击检测来记录可疑数据流、隔离已知很安全或很危险的资源,并激活加密cookies来抗击SYN泛滥攻击。
-
J-Flow记帐功能提供了独特的可扩展的高性能解决方案,利用数据流导出功能监控大量流量,以实现记帐、网络规划和安全应用。在收集数据包的过程中,AS PIC导出cflowd版本5和版本8数据。数据流导出功能可兼容设计用来接收数据流导出的行业标准的流收集器和应用。
- IPSec为企业VPN安全接入业务提供高性能加密,并可利用标准IPsec提供高度可扩展解决方案,用来支持可管理VPN以及跨服务供应商核心网络的PE-PE加密。
- 隧道业务功能使服务供应商可以利用不同的封装机制、在现有IT基础设施上传输不同类型的流量,支持网络范围内一致的业务交付。因此,除处理AS PIC支持的所有其他业务之外,M-系列路由器还能够用作IP-IP单点发送隧道、RFC 1702 GRE隧道或PIM-SM隧道的入口或出口。此外,M-系列路由器还能够将GRE中的MPLS用作第3层(RFC 2547bis)供应商边缘路由器间的隧道贯穿机制。
| 多业务PIC特性 |
优势 |
多业务PIC家族
- 单一PIC支持多个业务:网络地址转换、状态防火墙、隧道业务、IPSec加密、J-Flow记账、cRTP和攻击检测业务等。
- 每AS PIC支持多种业务。
|
- 保护网络的同时部署新型、创收IP业务。
- 减少备用件,降低前置购置成本。
- 减少单一业务PCI占用的FPC插槽的数量。
- 模块化增长可以在新业务广泛普及的同时实现成功的资本投资。
- 灵活性提供投资保护。
|
多业务PIC
- 400,000个同步防火墙会话和12,000个新会话/秒
- 500-Mbps的吞吐量
- 100 个服务集,每个最多300条规则
- 400,000个同步数据流,用于J-Flow记账
- 支持所有M-系列路由器,M320除外
多业务II PIC
- 400,000个同步防火墙会话和12,000个新会话/秒
- 500-Mbps的吞吐量
- 250个服务集,每个最多300条规则
- 1,000,000个同步数据流,用于J-Flow记账
- 支持所有M-系列和T-系列路由器
- CRTP,用于高效的VoIP
- CRTP将40字节IP/UDP/RTP报头压缩至2字节
- 1500 CRTP会话,用于DS3捆绑链路
|
- 支持在低速链路上传输高质量的VoIP
- 降低长途VoIP中继的带宽要求
- 与LFI结合在一起,最大限度地缩短串行化延迟,以缩短时延并减少抖动
|
- 支持用于IP地址的网络地址转换(NAT)和用于端口号的端口地址转换(PAT)。
|
- 使企业能够使用专用IP地址访问互联网。
- 灵活的转换配置可提供定制服务。
- ALG可对H.322、FTP和 ICMP等特有协议进行特殊处理。
|
- 带有深度数据包检测功能的状态型防火墙
- 根据防火墙规则列表进行全面的状态型数据包检测。
- 防止DOS攻击
- 拦截TCP
- 支持ALG
- IP数据包完整性检查
- 攻击检测 - 基于异常事件
|
- 强韧、高速的状态型保护功能可防止SYN攻击、ICMP和UDP泛滥、ping of death等恶意攻击。
- 卸载大量状态型过滤,可以减少购买专业设备的数量和设备规模。
- ALG对H.322、FTP和 ICMP等特有协议进行特殊处理。
- DOS攻击防护,可保护数据层面和控制层面。
- 状态建模识别潜在攻击,如:DoS/DDoS攻击、网络扫描和探测等。
|
- NAT和状态型防火墙与第3层RFC 2547 VPN集成。
- 用于VPN间流量的防火墙。
|
- 支持今天最全面的第3层 RFC 2547业务
- 具有站点到站点连通性,可使用专用地址空间在同一条连接上访问互联网。
- 实现全面的安全外联网业务。
|
| |
- 通过控制层面的状态防火墙保护功能,实现高度安全的路由器。
- 卸载现有安全设备,延长资产寿命。
|
- Internet Processor II集成实现强大的安全特性组合。
|
- 日志、计数器和采样,以识别攻击。
- 目标分类使用,用于跟踪DDoS攻击。
- 过滤器和速率显示,以阻断DoS攻击。
- ICMP泛滥、SYN攻击、UDP泛滥、广播攻击。
|
- 使用最大导出间隔和顶级对话器报告功能,J-Flow记帐可监控多达1,000,000条数据流和导出基于标准的cflowd版本5和版本8记录。
|
- 提供状态型数据流记帐信息,用于安全性、网络规划和灵活计费应用。
- 与现有数据流集合器和应用互操作。
- 提高监控效率和灵活性,而且不会降低网络性能。
- 显示带宽使用模式,以促进细粒度流量分析。
|
- IPSec可支持吞吐速率高达500 Mbps(半双工)的加密功能,并支持数字证书和多种IPSec模式。
|
- 确保服务供应商能够以可预测的高速度、安全地部署IP业务。
- 提供多种模式的灵活性。
- 利用多种模式降低运营复杂性。
|
- 隧道功能与现有隧道业务PIC一致,包括:IP-IP和GRE隧道贯穿、PIM-SM和RFC 2547bis VPN,支持出口过滤隧道业务。
|
- 为已部署的第3层VPN最大化连通性选项。
- 为已部署的第3层VPN提供增强的安全控制。
- 支持稀疏分布的组播组成员间的高效通信。
|
加密业务(ES) PIC
所有M-系列路由器都支持加密业务PIC,它使用IPsec协议提供在IPv4和IPv6的网络层提供鉴权和保密业务。灵活、可扩展的IPsec协议支持各种业务,包括:鉴权原点、数据完整性、机密性、重放保护和不否认源点。IPsec还定义了密钥生成和交互、安全性关联管理和数字证书支持的机制。
加密业务PIC使服务供应商能够支持几种关键功能,包括:
- 汇聚安全客户接入链路;在这里,服务供应商可以终接大量由客户端路由器发出的IPsec隧道。进入供应商网络之后,便能够安全地转发数据包。在客户的接入链路是由第三方供应商提供的情况下,这种应用很有用。加密隧道在客户站点发出,通过第三方服务供应商网络,然后在供应商的接入汇聚路由器终接。
- 在接收供应商客户接入链路发出的汇聚流量的路由器上部署ES PIC,以加密回程流量。然后数据包在第三方网络上加密并转发到另一区域中的另一路由器,并在那里解密。或者,服务供应商可以作为IPsec VPN业务交付的一部分在自己的网络上建立加密隧道。
- 将CPE发出的IPsec隧道终接到RFC 2547bis VPN;这样使远程客户站点可以连接到VPN,尤其是客户站点和汇聚路由器之间的接入链路由另一服务供应商提供时,更加有用。确保客户数据在提供接入链路并连接到VPN的过程中受到保护。边缘VPN路由器终接远程客户站点发出的IPsec隧道。
- 在客户处部署高速加密可确保,数据在离开站点之前是经过加密的。现在,服务供应商能够在客户的各种站点提供路由器,以在整个企业WAN范围内提供安全链路。
| ES PIC特性 |
优势 |
- 提供加密功能,吞吐速率高达800 Mbps (半双工)。
|
- 确保服务供应商能够以可以预测的高速度、安全地部署IP业务。
|
- 每PIC支持1,000条IPsec隧道或2,000个安全关联 (SA)对。
- 支持ESP、AH和AH/ESP隧道模式。
- 支持部署PIC的机架中的所有接口。
|
- 提高可扩展性。
- 每个机架可以部署多个ES PIC,以支持高密度安全接入和IPsec应用。
|
- 支持静态和动态安全关联(SA)。
- SA生命周期可以以秒为单位配置。
- 支持反重放功能,并且支持用于反重放的计数器和日志。
|
|
|
|
- 可以部署大规模、基于IPsec的安全接入服务。
- 自动进行安全关联配置以简化运行。
|
- IPsec隧道组播
- 通过GRE 隧道或IPsec隧道实现PIM。
- 直接通过IPsec隧道实现PIM。
|
|
- 细粒度测量和统计数据。
- 每隧道的输入和输出字节数。
- 每隧道输入和输出字节数统计报告。
- 每PIC发生的鉴权失败、反重放失败及其他错误的统计报告。
|
|
- 高可用性IPsec解决方案
- ES PIC自动故障切换。
- IPsec隧道自动故障切换。
|
- 提供安全连接服务的高可用性方法。
- 两条隧道的远程对等体可能是同一路由器或不同路由器上的两个不同接口。
|
链路业务PIC
链路业务PIC同时支持3种不同的功能:增强多链路绑定、隧道贯穿以及链路分段和交叉(LFI)。M5、M10、M20和M40e路由器支持链路业务PIC,能够结合其他IP业务PIC来增强平台功能。
- 链路业务PIC提供的增强多链路功能包括支持FRF.16;这样可促进经济高效的帧中继链路汇聚和绑定。支持现有多链路业务PIC提供的所有其他功能,包括FRF.15 和多链路PPP (MLPPP)。
- 链路分段和交叉(LFI)设计用来优化融和环境,可提高低速链路上的服务质量(QoS),以确保高质量的用户体验。作为服务供应商在低速链路上提供延迟敏感业务所必需的一个特性,LFI可最大限度减小高负载数据包所特有的时延和抖动。通过分解文件传输产生的大型数据报并与由此产生的较小数据包交叉低延迟流量,可大大提高整体服务水平。
- 提高细粒度流量优先级分配使服务供应商能够支持高收入的时延敏感业务,如:VoIP和VoD。将LFI与信道化Q-PIC相结合可以签订服务水平协议并进行严格的监管;目前以E-1、DS-3和OC-12的带宽提供信道化Q-PIC。提供在网络范围内警管SLA,可以向客户确保高质量的最终用户体验。
- 链路业务PIC提供的隧道贯穿功能与现有隧道业务PIC支持的业务完全相同。
| 链路业务 PIC 特性 |
优势 |
- 提供多种边缘功能,包括:多链路、LFI和隧道贯穿。
- 支持多达128束的多链路绑定(FRF.15、FRF.16和MLPPP),可以汇聚T1或E1链路。
- 支持链路分段和交叉("LFI"),最多256条链路。
- 隧道贯穿功能与现有隧道业务PIC一致,包括:IP-IP和GRE隧道贯穿、PIM-SM和RFC 2547bis VPN,支持出口过滤。
|
- 减少支持多种增值业务需要的插槽数量,增加可用于客户接入的端口总数。
- 使客户能够以n x T1/E1的增量增加带宽,创建资费可承担的业务以替代DS-3业务。
- 分解大型数据报并与由此生成的较小数据包交叉时延敏感的数据包,以此降低低速链路上的时延和抖动。
- 为多链路、支持LFI的客户提供IP VPN和隧道特性。
|
监控PIC
监控PIC提供可扩展的高性能解决方案,利用M-系列路由器上的数据流导出功能监控大量流量,可用于记帐和安全应用。灵活的监控PIC家族提供100 Kpps 和400 Kpps两个版本,是业界唯一能够监控多个OC-12c/STM-4和OC-48c/STM-16接口的解决方案。两个PIC版本每秒能监控数十万个数据包,同时维护100多万条并行数据流。基于业务量,服务供应商能够部署多个监控PIC,来监控路由器中的负载分布情况。
在采集数据包的过程中,监控PIC将UDP用作传输协议,导出数据流版本5和版本8数据。数据流导出功能可兼容设计用来接收数据流导出的行业标准收集器和应用。对于需要将数据流导出传输到远程收集器的应用,服务供应商可以使用GRE隧道贯穿技术(使用链路业务和隧道业务PIC)或IPsec (使用ES PIC)。
服务供应商能够为记帐、网络规划和安全性等各种应用导出数据流包。
- 对于记帐应用,监控PIC可收集所有数据包中的数据。由于使用了高性能的J-Flow记帐功能,所以能够向后端办公室计费应用报告精确的已传输数据包计数。
- 对于网络规划应用,监控PIC提供IP地址间的使用统计数据;这样可帮助服务供应商进行容量规划并计划实施流量工程。
- 对于安全应用,监控PIC能够帮助跟踪违反安全性的事件。利用数据流导出,PIC能够包括可能执行DoS攻击的某种数据包的计数,使服务供应商能够迅速识别潜在的攻击,并采取适当的防御措施
| 监控
PIC 特性 |
优势 |
监控 PIC
- 100 Kpps
- 最高 OC-48
- 最高 100万条数据流
监控 PIC II
- 400 Kpps
- 最高 OC-48
- 最高 250万条数据流
|
- 行业领先的可扩展性。
- 能够以模块化方式增加容量,提高资本效率。
- 支持高业务量。
|
|
- 提高可扩展性。
- 确保可以在不影响性能的同时传送大流量业务。
|
- 支持基于标准的cflowd版本5和版本8,用于数据流统计。
|
|
- 综合报告功能,包括识别"top talker"和流量分布柱状图。
|
|
隧道业务PIC
所有M-系列和T-系列平台都支持隧道业务PIC,它使服务供应商能够在利用综合隧道贯穿技术的同时提供管理第3层VPN等IP业务。隧道业务PIC使服务供应商可以在现有IP基础设施上提供相同的业务定义,支持网络范围内的一致业务交付。如果配置了隧道业务PIC,Juniper网络公司平台能够用作IP-IP单点发送隧道、RFC 1702 GRE隧道或PIM-SM隧道的入口和出口点。此外,将GRE中的MPLS用作第3层(RFC 2547bis)供应商边缘路由器之间的隧道贯穿机制,Juniper网络公司平台能够支持第3层IP VPN。
- IP-IP封装 -- IP-IP封装选项使服务供应商能够连接功能和策略不同的IP基础设施。使用标准IP-IP封装可为不能直接迁移到完全IP/MPLS基础设施的服务供应商提供一种替代方案。
- 通用路由封装 - 隧道业务PIC支持基于标准的GRE封装,并可扩展管理服务部署的连接选项。GRE封装模式同时支持两个RFC草案(RFC 1701和RFC 1702)。
- PIM稀疏模式封装 -- PIM-SM定义了一个IP组播协议,可以在稀疏分布的组播组成员之间支持高效的通信;这种类型的组播组在公共互联网中最为普遍。PIM-SM能够大大降低网络中的组播流量,并提高整体网络效率。下游路由器明确请求加入组播分布树之前不会转发本地组播数据包,这样可降低网络拥塞。
| 隧道业务特性 |
优势 |
- IP-IP 单点发送隧道贯穿。
- GRE 单点发送隧道贯穿。
|
- 可以在各种基础设施上部署第3层VPN等高性能IP业务。
- 为已部署的第3层VPN最大化连通性选项。
|
|
|
- 对从RFC 2547 PE到CE的流量进行出口过滤。
|
|
- 用于本地连接的主机和集合点运行实施PIM-SM封装和拆封。
|
|
| PIC |
平台 |
型号 |
| 多业务 PIC |
| |
M5, M7i, M10, M10i |
PE-AS |
| |
M20 |
P-AS |
| |
M40e, M160 |
PB-AS |
| 多业务 II PIC |
| |
M5, M7i, M10, M10i |
PE-AS2 |
| |
M20 |
P-AS2 |
| |
M40e, M160, M320, T320, T640 |
PB-AS2 |
多业务PIC业务许可证 (ASP或ASP II要求有许可证)
每个ASP、每项业务至少要求一个许可证;要求多个业务实例的站点可购买多实例许可证。如不安装在运营机箱中,非运营备件不要求许可证。 |
| CRTP许可证 |
所有M-系列,M320除外 |
S-CRTP |
| NAT/FW许可证 - 多实例 (例如:多个防火墙实例) |
所有M-系列和T-系列 |
S-NAT-FW-MULTI |
| NAT/FW 许可证 - 单一实例 (例如:单一防火墙实例) |
所有M-系列和T-系列 |
S-NAT-FW-SINGLE |
| J-Flow记帐许可证 |
所有M-系列,M320除外 |
S-ACCT |
| IPSec许可证 |
所有M-系列和T-系列 |
S-ES |
| 加密业务PIC |
| |
M5, M7i, M10, M10i |
PE-ES-800 |
| |
M20 |
P-ES-800 |
| |
M40e, M160, M320, T320 |
PB-ES-800 |
| 链路业务
PIC |
| 4 ML 束, 256
LFI 链路、隧道 |
M5, M7i, M10, M10i |
PE-LS-4 |
| M20 |
P-LS-4 |
| M40e, M320 |
PB-LS-4 |
| 32 ML 束, 256
LFI 链路、隧道 |
M5, M7i, M10, M10i |
PE-LS-32 |
| M20 |
P-LS-32 |
| M40e, M320 |
PB-LS-32 |
| 128 bundle, 256 LFI
链路、隧道 |
M5, M7i, M10, M10i |
PE-LS-128 |
| M20 |
P-LS-128 |
| M40e, M320 |
PB-LS-128 |
| 监控
PICs |
| 监控 (100 Kpps) |
M5, M7i, M10, M10i |
PE-PM |
| |
M20 |
P-PM |
| |
M40e, M160 |
PB-PM |
| 用于M40e和M160路由器的Monitoring II (400 Kpps) (要求许可证) |
M40e, M160 |
PB-PM2 |
| Monitoring II (400 Kpps)业务许可证 - 每个PIC都要求许可证 |
M40e, M160 |
S-MONITOR |
| 隧道业务
PIC |
| OC-12/STM-4 隧道贯
穿带宽 |
M5, M7i, M10, M10i |
PE-TUNNEL |
| M20 |
P-TUNNEL |
| M40e, M320, T320 |
PB-TUNNEL-1 |
| OC-48/STM-16 隧道贯 穿带宽 |
M160, M320 |
PB-TUNNEL |
| OC-192/STM-64 隧道贯 穿带宽 |
T320, T640, M320 |
PC-TUNNEL |
|
